Foto – Marcello Casal Jr

O presidente do Banco Central, Roberto Campos Neto, afirmou nesta sexta-feira (11) que os vazamentos de dados relacionados com o PIX vão acontecer “com alguma frequência”, mas que as ocorrências registradas são de vazamento de dados “não são tão sensíveis”, como nome, CPF e telefone celular de clientes de bancos.

Na semana passada, o Banco Central informou o terceiro vazamento de informações ligadas ao PIX. De acordo com o BC, dados cadastrais vinculados a 2.112 chaves PIX de clientes da Logbank foram vazados

Antes, clientes da Acesso e do Banco do Estado de Sergipe (Banese) também tiveram informações expostas.

“Como nós entendemos que esse mundo de dados vai cada vez crescer mais exponencialmente, os vazamentos vão acontecer com alguma frequência, não querendo banalizar os vazamentos, porque a gente vai atacar todos os vazamentos para que eles sejam o mínimo possível”, disse Campos Neto em evento promovido pelo Esfera Brasil.

“Mas é importante entender que os vazamentos que têm de dados do PIX são vazamentos que não são relevantes, no sentido de que são dados que não são tão sensíveis”, completou. Ele citou alguns exemplos.

“A gente tem vazamento, às vezes, que é nome e CPF, nome e CPF têm no talão de cheque da pessoa; então você tem, às vezes, o vazamento de telefone, que a chave é o telefone celular, mas grande parte das pessoas tem o telefone celular aberto, você entra em um sistema de consulta, bota o nome e acha o telefone”, exemplificou Campos Neto.

Ele disse, ainda, que o Banco Central tem comunicado todos os vazamentos identificados, a contrário de padrões adotados por outros países.

Saiba como se proteger

Por que esses vazamentos acontecem?

O BC é o “responsável técnico” pelo PIX, mas quem opera e faz a gestão dos dados são as instituições financeiras. Os vazamentos acontecem por vulnerabilidades na proteção de dados dentro das empresas.

Partindo desse pressuposto, os vazamentos podem acontecer de várias formas, das mais simples às complexas: invasão ou divulgação indevida de bancos de dados, exposição dos dados fora dos sistemas da instituição, e-mails para remetentes desprotegidos e assim por diante.

“Até o momento, todos os vazamentos não foram do BC. Foram falhas de segurança da própria instituição”, afirma Marcelo Chiavassa, professor de direito digital da Universidade Presbiteriana Mackenzie Campinas.

 

“Em geral, esses vazamentos ocorreram por falha humana, provocado, por exemplo, por alguém que clica num link capaz de roubar toda base de dados”, acrescenta.

Quantos vazamentos já aconteceram com o PIX?

Foram registrados três vazamentos envolvendo o PIX.

  • Logbank Soluções em Pagamentos S/A. Houve o vazamento de dados de 2.112 chaves PIX, contendo o nome do usuário, o CPF, a instituição de relacionamento e o número da conta;
  • Acesso Soluções de Pagamento. 160.147 chaves expostas. Segundo o BC, as informações obtidas eram de natureza cadastral e não permitiram movimentação de recursos, nem acesso às contas ou a outras informações financeiras;
  • Banco do Estado de Sergipe (Banese). Houve consulta a 395.009 chaves PIX que estavam sob a guarda e a responsabilidade da instituição. O BC disse que o vazamento “envolveu informações de natureza cadastral, que não dão margem à movimentação de recursos ou acesso a contas”.

Que dados foram vazados?

Cada vazamento é diferente, mas as últimas ocorrências envolvendo o PIX deram acesso às chaves de cliente das instituições financeiras, junto com dados relacionados, como CPFs.

De acordo com o Banco Central, as chaves PIX são apenas uma identificação facilitada para recebimento de recursos, como instituição de relacionamento, agência, conta e tipo da conta. Não há, portanto, acesso a saldo, fluxos de pagamentos e outras movimentações bancárias.

Como saber se meus dados foram vazados?

O BC informou, ainda, que as pessoas que tiveram seus dados cadastrais expostos a partir do incidente serão notificadas “exclusivamente por meio do aplicativo de sua instituição de relacionamento”.

“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, acrescentou.

Quais os riscos?

O vazamento foi de chaves PIX e dados relacionados. Sem acesso às senhas ou tokens, não é possível movimentar as contas.

“Isoladamente, é um problema muito baixo, porque, mesmo com o número do celular ou do CPF, a pessoa não poderá acessar a conta bancária”, diz Chiavassa.

 

Mas o BC alerta que a exposição das informações pode ser utilizada para aplicação de golpes de “engenharia social”, isto é, quando o golpista tentar persuadir a vítima a entregar a liberação ao acesso da conta em questão.

Um exemplo comum é o indivíduo, em posse das informações, fingir ser um funcionário do banco para tentar obter as credenciais do cliente.

Além disso, criminosos podem fazer o cruzamento desses dados com vazamentos antigos de bases de dados e dar mais sofisticação a outros golpes. Podem tentar se passar por alguém em interações com empresas ou praticar golpes como o saque indevido do FGTS (Fundo de Garantia do Tempo de Serviço).

“Esse não é um vazamento de informações sensíveis, o grande problema é a combinação desses dados com outros, que podem municiar um contato com mensagem falsa ou uso de ‘phishing'”, afirma Bruno Diniz, sócio da consultoria de inovação Spiralem.

 

Uma tática comum de “phishing” é enviar e-mails ou mensagens falsas para vítimas, em nome de empresas como bancos e tentar obter vantagens financeiras.

É possível, por exemplo, que criminosos enviem faturas falsificadas (como telefone, internet, IPVA, IPTU, entre outras) por e-mail. A vítima, identificando uma série de dados pessoais corretos, acredita que aquele débito é real e faz o pagamento.

Como proteger meus dados?

Não há uma forma específica de proteção dos dados fora da escolha de instituições financeiras. “Esse é o paradigma dos tempos atuais. Creio que, em um futuro próximo, o elemento de segurança digital será visto como diferencial, inclusive nas campanhas de marketing dos bancos”, afirma Diniz.

Por ora, existe a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, e tem como objetivo garantir mais segurança e transparência no uso de informações pessoais coletadas por empresas públicas e privadas.

“Temos punições previstas pela LGPD, mas é preciso observar como esses casos serão tratados pela Autoridade Nacional de Proteção de Dados. Até agora, os vazamentos não foram graves. Mas podem ser piores no futuro”, diz o especialista.

 

Em nota ao g1, o BC informa que, caso as instituições participantes não implementem as medidas previstas no Regulamento do PIX, é possível a incidência de casos de vazamento.

“Entretanto, cabe ressaltar que as medidas implementadas pelo BC possibilitam a identificação tempestiva e mitigam sobremaneira o potencial de chaves que podem ser expostas. Além disso, é importante destacar que o BC realiza uma série de ações de verificação de aderência da atuação dos participantes ao Regulamento do PIX”, diz o texto.

O BC diz ainda que suas ações de prevenção fizeram com que “o potencial de chaves expostas fosse bastante reduzido”.

Para quem já teve dados vazados, o BC já fez alguns alertas:

  • sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números;
  • ter atenção redobrada ao receber ligações de pessoas se passando por bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias, nem tampouco autorizar acesso remoto ao aplicativo ou internet banking;
  • ter cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira;
  • nunca utilizar senhas fáceis de serem descobertas.

 

Fonte – G1